我对使用Node and Express和Android客户端的REST API服务器的身份验证方法有疑问。
我目前正在开发一个可以注册用户帐户的应用程序。输入的密码已使用BCrypt加密,然后发送到REST API服务器。之后,用户凭据将存储在MongooseDB中。
登录时,Android客户端必须以某种方式进行身份验证才能进入MainActivity。输入注册期间使用的电子邮件地址和密码时,查询将发送到REST API,该API搜索该电子邮件地址。找到后,它将包括加密密码在内的整个用户凭据返回给Android客户端。然后在这里验证密码。如果成功,则该应用将跳至MainActivity。
现在,我知道这似乎并不是真正的身份验证,因为服务器现在对身份验证一无所知,也不在乎。另一方面,将从REST API接收的密码进行加密。
可以像现在一样运行“身份验证”吗,还是应该考虑以其他方式进行?如果是这样,那么一种简单的方法就可以启动并运行正确的身份验证?
谢谢!
答案 0 :(得分:1)
或者甚至不将密码存储在您的服务器上,而是使用Google登录名和/或其他一些oauth,更安全。